Cloudflare publiceert privacyonderzoek dns-dienst 1.1.1.1
Twee jaar geleden lanceerde internetbedrijf Cloudflare een eigen gratis dns-dienst met de naam 1.1.1.1 die claimde de privacy van gebruikers voorop te stellen. Cloudflare heeft accountancybedrijf KPMG de gemaakte privacyclaims laten onderzoeken en het onderzoeksrapport is nu openbaar gemaakt (pdf).
Het domain name system (dns) vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een dns-server verstuurd en bevatten informatie over de op te vragen website. De meeste internetgebruikers maken gebruik van de dns-server van hun internetprovider. Volgens Cloudflare is dit een privacyprobleem omdat providers via de dns-verzoeken precies kunnen zien welke websites hun gebruikers bezoeken.
Het internetbedrijf stelt dat de eigen dns-dienst 1.1.1.1 de privacy van gebruikers respecteert. Zo zegt de dienst geen ip-adressen van gebruikers op te slaan en worden alle logbestanden binnen 24 uur verwijderd. Ook zou er niet worden bijgehouden welke websites individuen bezoeken en wordt er geen persoonlijke data verkocht. "We wisten dat er sceptici zouden zijn. Veel mensen denken dat als ze niet voor een product betalen ze het product zijn. We vinden dat dit niet zo hoeft te zijn. Daarom hebben we een accountancybedrijf ingeschakeld om de privacybeloftes van onze 1.1.1.1-server te onderzoeken", zegt John Graham-Cumming van Cloudflare in een blogposting.
Het onderzoeksrapport van KPMG laat weten dat de dns-dienst van 1 februari 2019 tot 31 oktober 2019 aan de gestelde privacybeloftes voldeed. Zo werden dns-gegevens geanonimiseerd en worden logbestanden verwijderd. Dit gebeurt echter binnen 25 uur en niet 24 uur zoals Cloudflare aangaf. Cloudflare erkent verder dat tijdens het onderzoek werd ontdekt dat routers van het bedrijf 0,05 procent van alle ontvangen verzoeken blijken op te slaan, waaronder het ip-adres van gebruikers.
In een verklaring stelt het internetbedrijf dat dit voor al het verkeer wordt gedaan dat Cloudflare verwerkt. De tijdelijk opgeslagen gegevens worden gebruikt voor het verhelpen van problemen en voorkomen van dos-aanvallen. Daarop heeft Cloudflare besloten om de privacybelofte aan te passen zodat de opslag van deze gegevens wordt vermeld.
Tip: Draai je eigen recursive resolver. Dan lever je wat performance in, maar is een stuk beter dan weer zo'n Amerikaans BigTech van privacy als marketing term gebruikt.
Tip: Draai je eigen recursive resolver. Dan lever je wat performance in, maar is een stuk beter dan weer zo'n Amerikaans BigTech van privacy als marketing term gebruikt.
Is het niet zo dat ieder pakketje dat je verstuurt via je provider gaat ?
Dan kan de provider dus al je ip-bestemmingen vastleggen. Onafhankelijk van je dns-server.
Tenzij je via een vpn naar je bestemmingen gaat, maar dan kan de vpn-provider je bezochte ip-adressen bewaren.
Dan kan de provider dus al je ip-bestemmingen vastleggen. Onafhankelijk van je dns-server.
Tenzij je via een vpn naar je bestemmingen gaat, maar dan kan de vpn-provider je bezochte ip-adressen bewaren.
Dat klopt, en omdat er op een gegeven IP adres vaak maar een hand vol sites draait (CDN's uitgezonderd) kun je met IP adressen loggen al vrij veel zeggen over de sites die bezocht worden. Daar komt bij dat bij het opzetten van TLS verbindingen je ook de website naam in de SNI header meegeeft, wat afgeluisterd kan worden (ESNI uitgezonderd). Bij het gebruik van een VPN is dat matig beter, maar zoals je schrijft is het nu je VPN provider die dergelijke gegevens te zien krijgt. Bovendien wordt er veel onderzoek gedaan naar traffic analysis waarmee je ook het gebruik van verschillende apps/websites/protocollen over versleuteld verkeer probeert te herkennen, tegen je ISP ben je dus ook niet volledig 'beschermd'. (Op de uni wordt dan altijd de grap gemaakt of iemand ook al in zoetermeer heeft gesoliciteerd, dit is niet alleen een academisch kunstje)
Daarom is het echt onzin dat het gebruiken van een derde partij als Cloudflare voor je DNS verkeer zoveel beter zou zijn. Het zou fijn zijn als mensen stoppen met dit suggereren en gewoon de DNS server van hun provider gebruiken OF zelf een recursive DNS server draaien. Als je prive het internet op wilt, dan is de Tor browser de enige en meest veilige manier.
Tip: Draai je eigen recursive resolver. Dan lever je wat performance in, maar is een stuk beter dan weer zo'n Amerikaans BigTech van privacy als marketing term gebruikt.
Is het niet zo dat ieder pakketje dat je verstuurt via je provider gaat ?
Dan kan de provider dus al je ip-bestemmingen vastleggen. Onafhankelijk van je dns-server.
Tenzij je via een vpn naar je bestemmingen gaat, maar dan kan de vpn-provider je bezochte ip-adressen bewaren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
